3: Vorträge, Vorlesungen, Aufsätze
Sind die gesetzlichen Schutzregelungen im Telekommunikationsgesetz und im Bundesdatenschutzgesetz für die Nutzenden ausreichend?
Impulsvortrag von Dr. Thilo Weichert
Bamberger Verbraucherrechtstage 2013 „Mobile Commerce“
Veranstaltung des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV)
Arbeitsgruppe (AG) 1: Mobiler Datenschutz
Dass es Gesetzgebungsbedarf im Bereich „Mobile Computing“ geben muss, drängt sich allein angesichts der anwendbaren Regelungen auf. Diese – das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) sowie flankierend das Verbraucherrecht, z. B. im Bürgerlichen Gesetzbuch (BGB) – stammen teilweise aus Vor-Internet-Zeiten, in denen dem Gesetzgeber die Möglichkeiten und Herausforderungen des mobilen Netzes im Hinblick auf Verbraucherinnen und Verbraucher noch nicht im Ansatz erkennbar waren.
„Mobiler Datenschutz“ hat viel mit den Themen „Mobile Shopping“ und „Mobile Payment“ zu tun, geht aber in der Praxis weit darüber hinaus: Es geht nicht nur um Einkaufen und Bezahlen, wenn Verbraucher mit ihren mobilen Geräten unterwegs sind. Es geht auch um die Mobilität selbst, im Individualverkehr ebenso wie im öffentlichen Personenverkehr. Es geht um Familie und Freizeit, wobei das Einkaufen von analogen Waren nur eine Facette ist und Informations-, Service- und Unterhaltungsangebote einen zunehmenden Marktanteil einnehmen. Es geht um „Mobile Marketing“ in den unterschiedlichsten Gestaltungsformen, beispielsweise als standortbezogene Werbeangebote im Rahmen von „Location Based Services“ (LBS) oder sonstige standortbezogene Dienstleistungen. Es geht weiterhin um die Schnittmengen, die den Menschen als Verbraucher mit seinen anderen Rollen verbinden, also etwa als Arbeitnehmer, wenn dieser sein „Bring-Your-Own-Device“-Gerät verwendet. Es geht um die Rolle der Privatperson und des Familienmenschen, um den politisch handelnden Bürger oder um die sozial sich austauschenden Person auf den unterschiedlichsten technischen Ebenen und in den unterschiedlichsten Gruppenzusammenhängen.
Die Komplexität des Themas entsteht zudem durch die vielen unterschiedlichen Player auf dem Feld, die an der mobilen Datenverarbeitung der Verbraucher teilhaben:
- Die Hersteller der mobilen Geräte und ihrer Betriebssysteme sowie die Anbieter von Kommunikationssoftware wie Browsern haben den ersten Zugriff auf den Kunden.
- Die Netzbetreiber sind nicht nur für die technische Ermöglichung der Kommunikation verantwortlich, sondern haben zu den Kunden mit Zusatzangeboten vielfältige Vertragsbeziehungen.
- Eine eigenständige Relevanz haben die Portalanbieter, die mit den Browseranbietern nicht identisch sein müssen. Eine Spezialität der Portalanbieter liegt zumeist in Werbeangeboten für Shop-Betreiber.
- Auf dem Mobilmarkt hat sich ein unüberschaubares Angebot von Applikationen entwickelt, die über sog. App-Stores oder Apps-Marketplaces online zur Verfügung gestellt und von App-Anbietern betrieben werden.
- Die Shop-Betreiber haben bzw. suchen regelmäßig den direkten Kundenkontakt und führen ein oft durch viele digitale Zusatzinformationen angereichertes Customer Relation Management (CRM) System.
- Die Bezahlverfahren im Online-Bereich sind vielfältig. Payment-Anbieter sind neben klassischen Banken und Kreditkartenunternehmen weitere involvierte oder selbstständige Dienstleister.
Die Komplexität der Rechtsbeziehungen erhöht sich dadurch, dass bei vielen Internetanwendungen nicht nur ein Nutzer, sondern ein oder mehrere Kommunikationspartner einbezogen sind. Dies gilt für die zweiseitige Kommunikation, aber erst recht für Konferenzkommunikationen, wie sie beruflich wie privat (beispielsweise bei Onlinespielen) vielfältig praktiziert werden.
Nicht nur die Rollen, auch die technischen Infrastrukturen, auf denen der mobile Datenschutz aufsetzen oder in denen er nach Möglichkeit integriert sein sollte, sind alles andere als überschaubar und homogen:
So kommen nebeneinander unterschiedliche Netze zur Anwendung: Dies sind zum einen verschiedene Mobilnetze nach unterschiedlichen technischen Standards. Der GSM-Standard (Global System for Mobile Communications) wird zunehmend durch UMTS (Universal Mobile Telecommunications System) abgelöst. Inzwischen haben wir es mit einer vierten Generation von Mobilfunkstandards, den LTE-Netzwerken (Long Term Evolution), zu tun. Parallel dazu spielen WLANs (Wireless Local Area Networks) eine Rolle, die jenseits der Funkstationen der Netzbetreiber von kommerziellen und privaten Anbietern den Kontakt zum Endverbraucher herstellen können.
Der datenschutzrechtliche Gesetzgebungsbedarf in Bezug auf Mobile Computing ist zumindest teilweise identisch mit dem Gesetzgebungsbedarf zum Schutz des Rechts auf informationelle Selbstbestimmung und des Rechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme im Bereich der Netzkommunikation generell. Die Besonderheit des Mobile Computing liegt in folgenden Aspekten:
- die Erhebung und Verarbeitung von Standortdaten,
- die technischen Eigenheiten von Funknetzen gegenüber kabelbasierten Netzen,
- die intensive, oft dauernde personale Verbindung der Mobilgeräte mit einer natürlichen Person,
- die aus Gründen der Mobilität, dem Bedarf einer Synchronisierung mit verschiedenen Geräten und der oft geringeren Ressourcen häufig gewählte oder standardmäßig aktivierte Verbindung mit Cloud-Diensten.
Im Folgenden will ich – angesichts der vielen auftretenden datenschutzrechtlichen Fragestellungen – einige zentrale Fragen besonders herausgreifen und anhand der bestehenden und künftigen Rechtslage überprüfen. Hierbei können nicht alle Fragestellungen behandelt werden, die von Relevanz sind. So werden z. B. die Nutzung von Mobildiensten durch Kinder, die Nutzung am Arbeitsplatz oder die Verknüpfung von dienstlich-privater Nutzung hier nicht weiter thematisiert. Auch die Datenschutzprobleme, die in Zusammenhang stehen mit der Nutzung von Cloud-Diensten, mit globaler Kommunikation und den Zugriffsmöglichkeiten und faktischen Zugriffen durch Geheimdienste sowie mit den aktuellen Cybersecurity-Initiativen auf nationaler und europäischer Ebene werden an dieser Stelle nicht weiter ausgeführt.
Vor der Klammer ist auf ein praktisches wie rechtliches Problem hinzuweisen: Bei der Netzdatenverarbeitung wird zwischen drei Datenkategorien unterschieden: Inhaltsdaten, Nutzungs- bzw. Verkehrsdaten und Stamm- bzw. Bestandsdaten. Mit dieser Unterscheidung soll zum einen eine Abstufung nach der Sensibilität erfolgen, wobei grds. davon ausgegangen wird, dass Inhaltsdaten am sensitivsten und Bestandsdaten am wenigsten schützenswert seien, was sich auch an den materiell-rechtlichen und den verfahrensrechtlichen Eingriffsvoraussetzungen festmacht. Tatsächlich ist aber die Einordnung der anfallenden Daten oft nicht eindeutig. Zudem sind insbesondere die Nutzungsdaten teilweise von erheblich höherer persönlichkeitsrechtlicher Aussagekraft als viele Inhaltsdaten. Dies gilt für Service-, Partner-, Ort- und Zeitangaben beim Mobile Computing, über die elektronisch Bewegungs-, Kontakt- und Interessenprofile erstellt werden können.
Ebenfalls vor die Klammer gehört, dass die Trennung zwischen Telekommunikations- und Telemedienrecht im Hinblick auf Internet-Datenverarbeitung generell willkürlich erscheint und in der Praxis oft nicht sinnvoll möglich ist. Regelmäßig handelt es sich bei mobilen Angeboten um Telemediendienste gem. § 1 Abs. 1 TMG, so dass als Datenschutzvorschriften die §§ 11 ff. TMG anwendbar sind. Die rechtliche Abgrenzung erfolgt danach, ob der Dienst gem. § 3 Nr. 24 TKG ein Telekommunikationsdienst ist, also ein Dienst, der ganz oder überwiegend in der Übertragung von Signalen über die Telekommunikationsnetze besteht. Diese auf den Schwerpunkt eines Dienstes abstellende rechtliche Abgrenzung führt dazu, dass klassische, das Telefon ersetzende Kommunikationsdienste weitgehend als Telemediendienst einzustufen sind.
Art. 10 Grundgesetz in Form des Telekommunikationsgeheimnisses spielt also auch bei der Nutzung von Telemedien eine zentrale Rolle. Telekommunikationsangebote werden von Telemedienanbieter erbracht. Es wäre zu wünschen, dass die Regelungsmaterien, deren Aufteilung unserer föderalen Aufteilung der Gesetzgebungskompetenzen geschuldet ist – den Rahmenregelungen der Europäischen Union (EU) folgend – zusammengeführt würden.
Auf europäischer Ebene haben wir derzeit eine zweigliedrige Regelungsstruktur: Für Inhaltsdaten gilt die Europäische Datenschutzrichtlinie 1995 (EU-DSRl), für die Verkehrs- und Nutzungsdaten die E-Privacy-Richtlinie, die „Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation“ (EU-TK-DSRl). Die Europäische Datenschutz-Grundverordnung (EU-DSGVO), welche die Richtlinie 1995 ersetzen soll, beschränkt sich nicht auf die Regulierung von Inhaltsdaten, sondern zielt gerade im Hinblick auf die Internet-Datenverarbeitung auch auf Nutzungs- und Bestandsdaten. Nach einem ersten Entwurf Anfang 2012 beschloss der Innen- und Rechtsausschuss des Europaparlaments Oktober 2013 einen Vorschlag, der eine Grundlage der weiteren Darstellungen ist.
Misslich bleibt, dass auf europäischer Ebene neben der künftig anzuwendenden EU-DSGVO nationales Telekommunikations- und -medienrecht anwendbar sein soll, das lediglich über die EU-TK-DSRl vereinheitlicht, nicht aber vollständig und direkt anwendbar ist. Es ist zu wünschen, dass bald nach Beschluss der EU-DSGVO auch eine einheitlich gültige EU-Telekommunikations-Datenschutzverordnung in Angriff genommen wird.
Einige wichtige datenschutzrechtliche Konfliktpunkte sind folgende:
- Wann ist ein personenbezogenes Datum anzunehmen?
- Wer ist für welche Datenverarbeitung verantwortlich?
- Welches Recht ist anwendbar?
- Welche materiell-rechtlichen Voraussetzungen bestehen für die Verarbeitung von Standortdaten und -profilen?
- Wie kann für die Betroffenen die nötige Transparenz hergestellt werden?
- Welche Anforderungen sind an wirksame Betroffeneneinwilligungen bzw. -widersprüche zu stellen?
- Wie können die Betroffenenrechte in der Praxis umgesetzt werden?
Diese Fragen sollen nun bearbeitet werden:
1. Wann ist ein personenbezogenes Datum anzunehmen?
Eine der aus Datenschutzsicht nutzlosesten und zugleich gefährlichsten Debatten ist die über den Personenbezug. Sie wurde erstmals erschöpfend über durch dynamische IP-Adressen erschlossene Daten geführt. Von Wirtschaftsseite wurde diese Debatte ausschließlich mit dem Ziel geführt, sich dem Datenschutzregime zu entziehen, wenngleich unbestreitbar war und ist, dass dynamische IP-Adresse und Zeitangabe in den allermeisten Fällen eine Zuordnung zu einen Gerätebesitzer und zu einem Nutzenden, also zu einer natürlichen Person, erlaubt. Eine vergleichbar fruchtlose Debatte wurde zu den Cookies geführt, die uns aber die grds. datenschutzfreundliche Regelungen des Art. 5 Abs. 3 EU-TK-DSRl einbrachte. Inzwischen gibt es – insbesondere im Mobilbereich – viele zusätzliche Identifikatoren, die an Hard- oder Software anknüpfen und die wegen ihrer Zuordenbarkeit zu natürlichen Personen regelmäßig ebenso personenbeziehbar sind.
Dies gilt für die Kennungen der Mobilgeräte (Unique Device Identifiers (UDID) wie beim iPhone oder andere Geräte-IDs), die weltweit eindeutig sind und nicht geändert werden können. Diese ermöglichen es App-, Portal- und Werbeanbietern, anwendungsübergreifend Zuordnungen vorzunehmen und diese Gerätenutzungen zu verfolgen, also zu tracken, und beispielsweise für Werbezwecke zu vermarkten. Über lange Zeit hinweg war es üblich, dass Apps die Geräte-ID ohne Einwilligung des Betroffenen erhoben und nutzten. Diese nach deutschem Recht unzulässige Praxis wird zunehmend von Anbietern, wie z. B. Apple, technisch nicht mehr zugelassen, ist aber weiterhin verbreitet. Apple hat als Ersatz für die Nutzung der UDID einen Identifier for Advertising (IDFA) eingeführt, dem ebenso ein Personenbezug zukommt, selbst wenn Nutzer durch Einstellungen dessen Nutzung beschränken können.
Ein Personenbezug liegt auch dann vor, wenn die mobile IT Bestandteil einer umfassenderen Hardware, etwa eines Kfz ist. Darüber wird evtl. selbst das Kfz-Kennzeichen oder die Fahrzeug-Identifizierungsnummer zu einem datenschutzrechtlich relevanten Identifikator (vgl. § 39 Abs. 1 StVG).
Bei einer Fortschreibung des Rechts muss beachtet werden, dass Identifikatoren in immer schwieriger erkennbarem Gewand daherkommen: An die Stelle von Cookies oder Geräte-IDs wird auf Merkmalskombinationen zurückgegriffen, mit denen Nutzer eindeutig identifiziert werden können, ohne dass dies sofort erkennbar ist, z. B. indem ein Browser-Fingerprint zum Tracken verwendet wird. Eine gesetzgeberische Antwort hierauf darf sich nicht in einer technikbezogenen Präzisierung dessen erschöpfen, was unter Personenbeziehbarkeit zu verstehen ist; die Technik würde dazu jeweils Ausweichstrategien entwickeln. Eine wirksame Antwort liegt aber in der Einschränkung von Profilbildungen, so wie dies Art. 20 EU-DSGVO versucht.
2. Wer ist für welche Datenverarbeitung verantwortlich?
Der Frage nach der datenschutzrechtlichen Verantwortlichkeit wurde über viele Jahre hinweg als geklärt bzw. irrelevant angesehen. Dies hat sich mit der Nutzung von Internet-Diensten und erst recht von mobilen Smartphones geändert. Durch die Einschaltung vieler Stellen, durch die Unklarheit, welche dieser Stellen welche Datenverarbeitung durchführt, und durch die Angewiesenheit auf diese Verarbeitungsketten besteht die Gefahr, dass die Verantwortlichen nicht feststellbar sind. Dies führt zwangsläufig dazu, dass sich Beteiligte ihrer Verantwortung entziehen und ihre Geschäftsmodelle auf einer datenschutzwidrigen Datenverarbeitung aufbauen. Bei der Mobilkommunikation sind regelmäßig Endnutzer, Webseitenanbieter, App-Anbieterund bzw. oder Portalbetreiber für bestimmte Formen der Datenverarbeitung verantwortlich.
Der ursprüngliche Ansatz, dass nur verantwortlich ist, wer die Hoheit über Daten hat, wird schon bei der Auftragsdatenverarbeitung aufgehoben. Besteht aber hier zumindest noch ein rechtlicher Zugriff auf die Daten, so geht dieser bei weisungsfreier Arbeitsteilung völlig verloren. Die Definition in § 3 Abs. 7 BDSG gibt keine Auslegungshilfe, wenn dort die Stelle für verantwortlich erklärt wird, die „Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“. Etwas klarer ist Art. 2 lit. d) EU-DSRl, wonach verantwortlich ist, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Hier wird auf die Möglichkeit der Arbeitsteilung hingewiesen, ohne aber klarzustellen, wie groß der Anteil bei der Entscheidung sein muss. Davon unbeeindruckt meinte nun das Verwaltungsgericht (VG) Schleswig, dass keine Verantwortlichkeit besteht, soweit eine Stelle eine vorgegebene Form der Datenverarbeitung nutzt, ohne Verfügungsgewalt über die Daten zu haben (U. v. 09.10.2013, u. a. Az. 8 A 218/11). Dass eine Stelle durch Einrichtung eines Dienstes erst die Grundlage für die Verarbeitung und auch deren Art und Weise schafft, wurde vom Gericht ausgeblendet. Das ULD vertrat und vertritt in dem Verfahren die Ansicht, dass jede Zweckveranlassung zu einer Verantwortlichkeit führt, also wenn bewusst eine unabdingbare Voraussetzung für eine personenbezogene Datenverarbeitung durch eine Stelle gesetzt wird.
Leider ist insofern auch der aktuelle Parlamentsentwurf in Art. 4 Abs. 5 EU-DSGVO unklar, der inhaltlich nicht von der bisherigen Regelung der EU-DSRl abweicht. Die restriktive Auslegung z. B. durch das VG Schleswig führt dazu, dass eine Stelle in Deutschland einen datenschutzwidrigen Dienst auswählen kann und hierfür datenschutzrechtlich nicht zur Verantwortung gezogen werden kann, wenn die Festlegungen zur Datenverarbeitung von dort einfach übernommen werden. Um insofern Rechtssicherheit zu bekommen, sollte klargestellt werden, dass jede Zweckveranlassung einer Datenverarbeitung zu einer Verantwortlichkeit hierfür führt. Eine solche Zweckveranlassung kann ebenso der Betrieb einer Portalseite sein wie die Installation einer App oder von Plugins.
3. Welches Recht ist anwendbar?
Ebenso ungeklärt war lange Zeit, welches Datenschutzrecht anwendbar ist. § 1 Abs. 5 BDSG in Umsetzung von Art. 4 EU-DSRl gibt dazu bisher eine Antwort, die aber Interpretationsspielraum eröffnet: Anwendbar ist danach bei Vorliegen einer Niederlassung das nationale Recht der Niederlassung. Das VG Schleswig wie auch das OVG Schleswig-Holstein betrachteten aber nicht jede Art von Niederlassung als relevant, sondern nur eine, in der über die konkrete Datenverarbeitung entschieden wird (OVG SH, B. v. 22.04.2013, 4 MB 11/13). Dass eine deutsche Stelle für ein Unternehmen tätig ist, z. B. für das Marketing und die Akquise, soll keine Rolle spielen. Es wird also einem Unternehmen überlassen festzulegen, wo die wesentlichen Entscheidungen getroffen werden und damit welches Recht anwendbar ist. Diese anbieterzentrierte, nicht am Verbraucher oder am Grundrechtsschutz orientierte Gesetzesinterpretation ermöglicht es Unternehmen, ihre Standortentscheidungen danach zu treffen, wo das geringste Datenschutzniveau besteht bzw. wo Datenschutzrecht am schwierigsten für die Betroffenen durchzusetzen ist.
Dieses fragwürdige Ergebnis soll mit der EU-DSGVO verändert werden: Europaweit soll einheitlich dieselbe Verordnung anwendbar sein, egal ob die Verarbeitung in der EU erfolgt oder nicht. Gemäß Art. 3 Abs. 2 a) soll es darauf ankommen, dass Betroffenen in der EU Waren oder Dienstleistungen angeboten werden. Nach Art. 51 Abs. 1 des Parlamentsvorschlages gilt das Territorialitätsprinzip. Jeder Betroffene hat nach Art. 73 EU-DSGVO die Möglichkeit, bei jeder Aufsichtsbehörde seine Beschwerde einzureichen. Vorrangig zuständig ist nach Art. 54a die „Lead Authority“, also die Behörde am Ort der Hauptniederlassung. Vor einer Entscheidung muss aber eine Beteiligung der anderen betroffenen Aufsichtsbehörden erfolgen, wobei Konsens angestrebt werden muss und eine Anrufung des letztentscheidenden Europäischen Datenschutzbords möglich ist.
4. Welche materiell-rechtlichen Voraussetzungen bestehen für die Verarbeitung von Standortdaten und -profilen?
Standortdaten sind – im Zusammenhang mit Geräte- oder Nutzeridentifikatoren – personenbezogene Daten, die regelmäßig Auskunft darüber geben, wo sich ein Nutzer aufhielt bzw. aufhält. In Kombination mit weiteren Inhalts- und Nutzungsdaten, z. B. von Location Based Services, kommt diesen Daten eine hohe Aussagekraft zu. Der Standort lässt sich auf unterschiedliche Weise feststellen. Möglich ist dies über Satellitennavigationssysteme wie GPS (Global Positioning System), über den lokalisierten WLAN-Zugang und dessen MAC-Adresse (Media Access Control) oder durch die Ortung über Mobilfunkbasisstationen, die bei eingeschaltetem und eingebuchtem mobilen Gerät nutzerseitig nicht unterbunden werden kann.
Standortdaten werden regelmäßig als Verkehrs- oder Nutzungsdaten erhoben. Denkbar ist aber auch, z. B. durch Einsatz von GPS, dass sie unabhängig vom Verbindungsaufbau erhoben und verarbeitet werden. Die Verarbeitung von Standortdaten scheint knapp und befriedigend geregelt: Gemäß § 98 TKG ist die Verarbeitung erlaubt, wenn und soweit dies „zur Bereitstellung von Diensten mit Zusatznutzen“ erforderlich ist. Für sämtliche weiteren Nutzungen bedarf es der ausdrücklichen Einwilligung des Teilnehmers. Mitbenutzende sind über erteilte Einwilligungen zu unterrichten. Selbst bei Bestehen einer Generaleinwilligung muss die Möglichkeit bestehen, die Erfassung „auf einfache Weise und unentgeltlich zeitweise zu untersagen“. Ansonsten muss vor einer Verarbeitung eine Anonymisierung erfolgen. § 98 TKG setzt Art. 9 der EU-TK-DSRl um.
Problematisch ist jedoch, dass das Abgreifen von Standortdaten oft nicht im Zusammenhang mit der Erbringung eines TK-Dienstes und durch den TK-Dienstebetreiber erfolgt. § 98 TKG ist nicht direkt auf Telemedienanbieter und auf gesondert erhobene GPS-Daten anwendbar. Dessen ungeachtet können und müssen – wegen des generell im Datenschutzrecht geltenden Verbotsprinzips mit Erlaubnisvorbehalt – bei der Verwendung von Standortdaten, die nicht zur Erbringung des Mediendienstes erforderlich sind, Einwilligungen eingeholt werden. Fraglich ist, was zur Erbringung eines Dienstes nötig ist: Die Festlegung erfolgt einseitig durch den Anbieter, etwa einer App. Handelt es sich bei den dann erhobenen Daten nicht um Nutzungs-, sondern um Inhaltsdaten, so ist nicht einmal § 15 Abs. 3 TMG anwendbar mit der Folge, dass nach § 28 Abs. 3 BDSG eine Werbenutzung dieser Angaben schnell so begründet wird. Wegen des hohen Risikopotenzials von Standortdaten sind an Einwilligungen dem gegenüber hohe Anforderungen zu stellen.
Dass z. B. von App-, Portal- und weiteren System-Anbietern in zu großem Maße – und damit unzulässig – Standortdaten erhoben und verarbeitet werden, ist weniger den materiellen Regelungen zuzuschreiben als dem Umstand, dass von den Betroffenen einzuholende Einwilligungen unzureichend sind oder – unzulässigerweise – völlig auf diese verzichtet wird.
5. Wie kann für die Betroffenen die nötige Transparenz hergestellt werden?
Mobile Geräte haben regelmäßig ein kleineres Display als die hochauflösenden Bildschirme von stationären Rechnern. Zwar lassen sich auf Tablets fast ähnlich große Informationsmengen wie auf einem PC-Bildschirm anzeigen, doch gelten für Mobilgeräte einheitliche Standards, die auch für Hosentaschengeräte anwendbar sein müssen.
Gemäß § 13 Abs. 1 TMG sind Nutzende zu Beginn eines Vorgangs über die Art, den Umfang und die Zwecke der Erhebung und Verwendung der Daten sowie über die Verarbeitung außerhalb von Europa „in allgemein verständlicher Form zu unterrichten“. Nur so ist eine selbstbestimmte Entscheidung darüber möglich, ob und wie der Dienst genutzt werden soll. Die Transparenzpflichten gehen aber noch weiter: § 5 TMG verpflichtet zur erreichbaren Anzeige von Impressumsangaben, bei kommerziellen Angeboten nach § 6 TMG mit zusätzlichen Hinweisen. Im Fall einer Weitervermittlung muss dies nach § 13 Abs. 5 TMG angezeigt werden. Für den Fall der Profilbildung, also beispielsweise bei der Datenzusammenführung für Werbezwecke, muss nach § 15 Abs. 3 TMG hierüber sowie über das bestehende Widerspruchsrecht informiert werden. Zu diesen Anforderungen des TMG kommen weitere Transparenzpflichten nach dem BDSG: die Pflicht zur Information über Werbenutzungen und über die Einräumung der Widerspruchsmöglichkeit hiergegen nach § 28 Abs. 4 BDSG und die Pflicht zur Bereitstellung von Verfahrensverzeichnissen (§§ 4e, 4g Abs. 2 BDSG). Bei besonderen Übermittlungen sind nach § 33 BDSG und bei bestimmten automatisierten Entscheidungen nach § 6a BDSG weitere Benachrichtigungspflichten vorgesehen. Gesetzlich gar nicht geregelt, aber dringend nötig wäre zur Sicherung der Betroffenenrechte die Mitteilung der Erreichbarkeit des betrieblichen Datenschutzbeauftragten (§ 4f BDSG) und die Benennung dieser Betroffenenrechte (§§ 6, 34, 35 BDSG).
Soll ein Nutzer eine Erklärung abgeben, etwa seine Einwilligung zur Datenverarbeitung, so müssen weitere Informationen vermittelt werden, in jedem Fall Angaben über verantwortliche Stelle, Art und Zweck der Datenverarbeitung (§ 4a BDSG) sowie über die Widerrufbarkeit (§ 13 Abs. 3 TMG).
Viele Anbieter machen es sich bei der Vermittlung dieser Informationsfülle einfach, indem sie die gesamten Angaben in eine Buchstabenwüste von Privacy Policies oder Nutzungsbestimmungen packen, verbunden mit der Vermutung, dass diese ohnehin nicht zur Kenntnis genommen werden. Hiergegen gibt es bisher rechtlich keinen wirksamen Schutz. Es bedarf aufwändiger Verfahren und zumeist Gerichtsprozesse, z. B. durch Verbraucherschutzverbände, um gegen diese Buchstabenwüsten nach den Regeln zu Allgemeinen Geschäftsbedingungen (AGBs) gemäß den §§ 305 ff. BGB vorgehen. Wegen der Vielfalt der technischen Gestaltung und deren verbaler Darstellungen haben selbst gerichtliche Festlegungen nur eine geringe Bindungs- und Vorbildwirkung.
In der Praxis gibt es inzwischen Lösungen, die Informationsgehalt einerseits und Aufnahmefähigkeit und -bereitschaft des Nutzers andererseits aufeinander abstimmen. Derartige verbraucherfreundliche Lösungen laufen darauf hinaus, dass Informationen nicht pauschal und vorab erteilt werden, sondern situationsbezogen und nur wenn erforderlich. Außerdem kann mit einem mehrschichtigen Informationsangebot zunächst ein Hinweis, evtl. per Icon, dann eine generelle – gesetzlich geforderte – Information und nur im Bedarfsfall eine – gesetzlich möglicherweise nicht zwingende, aber vertieften Verbraucherinteressen entsprechende – Hintergrundinformation gegeben werden. Derartiges „Layered Policy Design“ mag wegen seiner hohen differenzierten Anforderungen im Detail gesetzlich schwer zu erzwingen sein. Wohl aber ist es möglich, solche vorbildlichen Angebote über unabhängige Zertifizierungen oder Siegel für den Verbraucher erkennbar zu machen.
Art. 39 EU-DSGVO sieht solche Datenschutzzertifizierungen generell vor. Praktiziert werden sie bisher durch das Unabhängige Landeszentrum für Datenschutz (ULD) in Kiel sowohl gemäß nationalem als auch europäischem Recht – dem Gütesiegel Schleswig-Holstein und dem European Privacy Seal – EuroPriSe. An einer nationalen Vereinheitlichung versucht sich derzeit die Stiftung Datenschutz.
6. Welche Anforderungen sind an wirksame Betroffeneneinwilligungen bzw. –widersprüche zu stellen?
Die datenschutzrechtlichen Anforderungen an wirksame Einwilligungen sind in § 4a BDSG und § 13 Abs. 2 TMG geregelt. Einwilligungen müssen Angaben über die verantwortliche Stelle, den erlaubten Zweck und über Art und Umfang der Daten enthalten. Die Erklärung darf also nicht pauschal, sondern muss qualifiziert erfolgen. Die Einwilligung muss freiwillig sein. Dies ist nicht der Fall – unabhängig von expliziten Koppelungsverboten –, wenn die Einwilligung mit der Erbringung einer für den Betroffenen existenziellen Leistung zwingend verknüpft wird. Die Einwilligungserklärung muss gesondert hervorgehoben werden und darf nicht in AGBs versteckt sein. Weitere Voraussetzung ist die künftige Widerrufbarkeit (vgl. auch § 28 Abs. 3a BDSG). Bei elektronischen Einwilligungen wird nach § 13 Abs. 2 TMG zusätzlich gefordert, dass die Erklärung protokolliert wird und jederzeit abrufbar ist.
Die Neigung der Wirtschaft, sich pauschale unbestimmte Einwilligungen ohne hinreichende Information einzuholen, ist weit verbreitet. Ebenso wie bei der Erfüllung der Informationspflichten besteht die Problematik, dass die Formulierungen stark dienste- und technikabhängig sind und deshalb die sehr voraussetzungsvolle Durchsetzung der rechtlichen Anforderungen in der Praxis zu kurz kommt.
Auch im Hinblick auf die Einwilligung kann gemäß dem schon erwähnten „Layered Policy Design“ vorgegangen werden. Eine weitere praktikable Sicherung des Erklärungswillens des Einwilligenden beruht im Prinzip des „Privacy by Default“, also einer datensparsamen und damit datenschutzfreundlichen Grundeinstellung, die durch qualifizierte Einzeleinwilligungen durch den Betroffenen bewusst erweitert werden muss. Dieser Grundsatz ist bisher gesetzlich noch nicht explizit festgelegt, lässt sich aber schon heute aus den Prinzipien der Erforderlichkeit und Datensparsamkeit und den rechtlichen Anforderungen an Einwilligungen zwingend ableiten. Eine explizite Regelung, wie sie nun in Art. 23 Abs. 2 EU-DSGVO vorgesehen ist, ist aber dringend erforderlich, um die bestehenden Vollzugsdefizite abbauen zu können.
Einwilligungen im Online-Bereich können auf den unterschiedlichsten Ebenen erteilt werden. Es ist nicht zwingend, dass dies erst auf der konkreten Anwendungsebene erfolgt. Deshalb bietet es sich an, standardisierte Einwilligungen schon durch Browsereinstellungen vorzunehmen, die einmal festgelegt generell für die Browsernutzung gelten. Voraussetzung ist aber auch hier die Anwendung des Grundsatzes „Privacy by Default“. Weiterhin ist nötig, dass gewährleistet wird, dass Browsereinstellungen von den konkreten Online-Anwendungen auch verstanden und akzeptiert werden. Hierfür ist eine möglichst weltweite Standardisierung wünschenswert, wie sie durch das Konsortium W3C angestrebt wird. Wie schwierig diese Standardisierung ist, zeigt sich bei den bisherigen Bemühungen, Standards für das Tracken von Nutzern („Do-Not-Track“) und die damit verbundene Werbung festzulegen.
Basiert eine Datenverarbeitung auf einer voreingestellten Einwilligung, so können schnell Transparenzprobleme entstehen, da den Betroffenen regelmäßig nicht präsent ist, welche Erklärungen sie in der Vergangenheit abgegeben haben. Deshalb ist es erforderlich, durch einfach erkennbare Signale, Icons o. Ä., zu erkennen, welcher Einwilligungsstatus derzeit besteht. Diese Notwendigkeit besteht zudem bei Geräten, die von mehr als einer Person genutzt werden und dadurch die Person des Einwilligenden von der des Betroffenen abweichen kann. Diese Anforderung gilt für bestimmte Zwecke, etwa für die Werbenutzung, aber insbesondere auch für bestimmte sensible Daten, im Bereich der Mobilkommunikation vor allem für die Standortdaten.
Die Art. 29-Datenschutzgruppe empfiehlt zudem, dass individuelle Einwilligungen „nach einer gewissen Zeitspanne“ zu erneuern sind. Dies muss in jedem Fall gelten, wenn ein Dienst längere Zeit, z. B. über ein Jahr, nicht mehr genutzt wurde. In einem solchen Jahresturnus könnte auch eine Pflicht zur Erinnerung an bestehende Einwilligungen festgelegt werden. Hierfür gibt es aber bisher keine klare gesetzliche Grundlage.
Art. 7 EU-DSGVO sieht präzise Bedingungen für wirksame Einwilligungen vor. Diese müssen eindeutig erkennbar sein. Der verantwortlichen Stelle obliegt eine Beweispflicht. Die Widerrufsmöglichkeiten werden präzise festgelegt. Ursprünglich geplante Einschränkungen bei technisch und vertraglich überlegenen verantwortlichen Stellen haben sich im aktuellen Parlamentsentwurf nicht durchgesetzt.
7. Wie können die Betroffenenrechte in der Praxis umgesetzt werden?
Ein großes Problem bei Internet-Diensten ist die technische, rechtliche und letztlich praktische Durchsetzung der Betroffenenrechte, also insbesondere des Rechts auf Auskunft (§ 13 Abs. 7 TMG, § 34 BDSG) sowie die Rechte auf Berichtigung, Löschung und Sperrung von Daten (§ 35 BDSG). Bei der Mobilkommunikation werden noch mehr Daten als bei der stationären Datenverarbeitung beiläufig erfasst, für die es oft nur einen kurzfristigen Speicherbedarf gibt. Dies gilt insbesondere für App- und Portalanbieter.
Die rechtlichen Anforderungen an Auskunftserteilung und Datenkorrektur sind klar und weitgehend unstreitig. So ist z. B. unbestreitbar, dass die Betroffenenrechte sich auch auf pseudonym erfasste Daten erstrecken. Probleme bestehen jedoch bei der Realisierung der Betroffenenrechte.
Für die technische Umsetzung des Auskunftsanspruchs genügt es nicht, Profildaten etwa über ein sog. Dashboard zum Abruf bereitzustellen. Vielmehr müssen auch die (z. B. für Werbezwecke) unter Pseudonym abgelegten Daten sowie Metadaten, also Verkehrsdaten und Auswertungsdaten, beauskunftet werden.
Erfolgt eine Datenlöschung durch einen Nutzenden auf seinem Profil, so müssen diese Daten auch real gelöscht werden, wenn diese nicht für einen zulässigen Zweck weitergespeichert werden dürfen. Ein solcher Zweck besteht nicht darin, einem Nutzer später die Reaktivierung von Daten oder eines gesamten Accounts anbieten zu können. Allenfalls für eine kurze Zeitspanne kann eine Zwischenspeicherung erlaubt sein, wenn die Gefahr besteht, dass ungewollt bzw. versehentlich Daten gelöscht werden. Unabhängig davon ist die turnusmäßige Löschung von Nutzerdaten vorzusehen, etwa wenn eine App gelöscht bzw. ein Nutzungsvertrag gekündigt wird. Bei unentgeltlichen Nutzungsverhältnissen, bei denen den Anbietern oft nicht bekannt wird, dass eine Nutzung nicht mehr erfolgen soll, sind nach kurzen Fristen Regellöschungen vorzusehen.
Zusammenfassung und Ausblick
Die Untersuchung der vordringlichen Datenschutzfragen des Mobile Computing zeigt, dass diese weitgehend identisch sind mit den allgemeinen Fragen moderner Internet-Datenverarbeitung. Die insofern bestehenden Regulierungsdefizite werden beim Mobile Computing oft noch verstärkt. Dies gilt etwa für die ungeklärten Fragen zur Verantwortlichkeit und zum anwendbaren Recht. Die Entwürfe zu einer EU-DSGVO versprechen insofern nur teilweise Abhilfe.
Eine Zusammenführung der Datenschutzmaterien im TKG und TMG auf nationaler Ebene und eine einheitliche Wahl des Regelungsinstruments, also perspektivisch von Verordnungen, auf europäischer Ebene sind erstrebenswert.
Die Besonderheit des Mobile Computing liegt in den extensiven Nutzungspotentialen der Standortdaten. Deren Verarbeitung jenseits der Erbringung der jeweiligen Dienste ist von ausdrücklichen Einwilligungen abhängig.
Unbestreitbar ist, dass die bestehenden rechtlichen Anforderungen in der Praxis oft nicht beachtet werden. Der Abbau von Vollzugsdefiziten ist insofern von größter Bedeutung. Hierfür ist nicht nur eine bessere Ausstattung der Aufsichtsbehörden relevant; förderlich können auch die Verbesserung des Instrumentariums der Aufsichtsbehörden, eine Verschärfung der Sanktionen, die Erhöhung der Praktikabilität der Betroffenenrechte sowie eine Erleichterung der Klagemöglichkeiten sein. Einiges hiervon wird in den Entwürfen zur EU-DSGVO vorgesehen.
Nicht zwingend regulierungsbedürftig, aber regulierungsfähig und zweifellos begrüßenswert sind Infrastruktur-Verbesserungen für den Datenschutz: Privacy by Default, Standardisierungen und Zertifizierungen können das Datenschutzniveau bei der Internet-Datenverarbeitung generell und beim Mobile Computing speziell massiv verbessern.
Es ist absehbar, dass Trends des mobilen Computings künftig noch zu einer stärkeren Relevanz für Individuen und Gesellschaft entfalten werden. Diese sollten daher in Bezug auf regulatorische Möglichkeiten oder Notwendigkeiten politisch diskutiert werden. Dazu gehören der Einsatz von NFC-Technologie (z. B. zum Bezahlen, zur Interaktion mit anderen Personen oder zur Konfiguration eines Smart Homes), die Verwendung von Handys als Multifunktionsdevices (z. B. gleichermaßen zur Individualkommunikation wie etwa zur Fernsteuerung von Geräten, z. B. Drohnen), die Erfassung und Auswertung biometrischer Daten der Nutzenden (z. B. zu medizinischen Zwecken, zur Selbstvermessung oder zur Unterstützung wie in Sprachassistenzsystemen) oder die Übertragung und Analyse von Daten der Umgebung (z. B. Google Glass).
Schließlich sollte auch das Potenzial von Mobile Computing für ein Mehr an Datenschutz ausgelotet werden, beispielsweise indem die Nutzerinnen und Nutzern mit Hilfe solcher Geräte gerade in der komplexer werdenden Welt der ubiquitären Datenverarbeitung in der Risikoeinschätzung, im Identitätenmanagement und insgesamt in ihrer informationellen Selbstbestimmung effektiv unterstützt werden.